COMUNICATO STAMPA – CONTENUTO PROMOZIONALE<\/p>\n
\u00a0<\/p>\n
Milano, 28 ottobre 2025. In occasione del Security Analyst Summit in Thailandia, il Global Research and Analysis Team (GReAT) di Kaspersky ha presentato le pi\u00f9 recenti attivit\u00e0 APT attribuite a BlueNoroff, rivelando due campagne malevole denominate \u201cGhostCall\u201d e \u201cGhostHire\u201d. Queste operazioni, attive almeno dall\u2019aprile 2025, prendono di mira aziende che operano nel settore Web3 e delle criptovalute in India, Turchia, Australia e in diversi altri Paesi, anche in Europa e Asia.
\n\u00a0<\/p>\n
BlueNoroff, una sottodivisione del noto gruppo Lazarus, continua ad ampliare la sua campagna \u201cSnatchCrypto\u201d, un\u2019operazione a scopo di lucro che prende di mira aziende del settore crypto in tutto il mondo. Le recenti campagne \u201cGhostCall\u201d e \u201cGhostHire\u201d sfruttano nuove tecniche di infiltrazione e malware personalizzati per compromettere sviluppatori e dirigenti del settore blockchain. Questi attacchi interessano principalmente i sistemi macOS e Windows e sono gestiti attraverso un\u2019infrastruttura di comando e controllo unificata.\u00a0<\/p>\n
La campagna GhostCall prende di mira i dispositivi macOS e inizia attraverso un attacco di social engineering estremamente sofisticato e personalizzato. Gli aggressori contattano le vittime tramite Telegram, fingendosi investitori di venture capital e, in alcuni casi, utilizzando account compromessi di veri imprenditori e fondatori di startup per proporre opportunit\u00e0 di investimento o collaborazione. Le vittime vengono quindi invitate a partecipare a falsi incontri di investimento su siti di phishing che imitano le piattaforme Zoom o Microsoft Teams; durante la \u201criunione\u201d, viene richiesto loro di aggiornare il client per risolvere un presunto problema audio. Questa azione porta al download di uno script malevolo che installa il malware sul dispositivo della vittima.\u00a0<\/p>\n
\u201cQuesta campagna si basa su un inganno pianificato con cura e precisione. I cybercriminali riproducono dei video delle vittime precedenti durante incontri organizzati ad hoc per far sembrare le interazioni delle vere e proprie chiamate e manipolare cos\u00ec i nuovi utenti. I dati raccolti durante questo processo vengono poi utilizzati non solo contro la vittima iniziale, ma anche per attacchi successivi e di supply-chain, sfruttando le relazioni basate sulla fiducia gi\u00e0 esistenti per colpire un numero maggiore di aziende e utenti\u201d,ha commentato Sojun Ryu, Security Researcher del GReAT di Kaspersky.
\n\u00a0<\/p>\n
I cybercriminali impiegano sette catene di esecuzione multistadio, quattro delle quali mai individuate in precedenza, per diffondere una serie di nuovi payload personalizzati, tra cui crypto stealer, browser credential stealer, secrets stealer e Telegram credential stealer.\u00a0<\/p>\n
Nella campagna GhostHire, l’APT prende di mira gli sviluppatori di blockchain fingendosi recruiter. Le vittime vengono cos\u00ec convinte a scaricare ed eseguire un repository GitHub contenente malware, che viene presentato come un test di valutazione delle competenze. GhostHire condivide con la campagna GhostCall l’infrastruttura e i tool, ma invece di impiegare videochiamate, si focalizza sul contatto diretto con sviluppatori e ingegneri attraverso false offerte di lavoro. Dopo il primo contatto, le vittime vengono aggiunte su un bot Telegram che invia un file ZIP o un link GitHub, insieme a una breve deadline per completare l’attivit\u00e0. Una volta eseguito, il malware viene installato sul computer della vittima, adattandosi al sistema operativo.\u00a0<\/p>\n
L’uso dell’IA generativa ha consentito a BlueNoroff di accelerare il processo di sviluppo del malware e perfezionare le proprie tecniche di attacco. I cybercriminali hanno introdotto nuovi linguaggi di programmazione e aggiunto ulteriori funzionalit\u00e0, complicando le attivit\u00e0 di rilevamento e analisi. Questa tecnologia consente inoltre agli hacker di gestire ed espandere le proprie operazioni, aumentando sia la complessit\u00e0 che la portata degli attacchi. \u00a0<\/p>\n
“Rispetto alle campagne precedenti, la strategia di attacco degli hacker si \u00e8 evoluta andando oltre il semplice furto di criptovalute e password dei browser. L’uso dell’intelligenza artificiale generativa ha accelerato notevolmente questo processo, facilitando lo sviluppo di malware e riducendo i costi operativi. L’approccio basato sull’intelligenza artificiale aiuta a colmare le lacune nelle informazioni disponibili, consentendo attacchi pi\u00f9 mirati. Combinando i dati compromessi con le capacit\u00e0 analitiche dell’AI, la portata di questi attacchi si \u00e8 ampliata. Ci auguriamo che la nostra ricerca contribuisca a prevenire ulteriori danni”,ha commentato Omar Amin, Senior Security Researcher del GReAT di Kaspersky.
\n\u00a0<\/p>\n
Ulteriori informazioni, compresi gli indicatori di compromissione, sono disponibili nel report su Securelist.com.\u00a0<\/p>\n
Per proteggersi da attacchi come GhostCall e GhostHire, Kaspersky consiglia alle aziende di seguire le seguenti best practice:\u00a0<\/p>\n
\u00a0<\/p>\n
Fondato nel 2008, il Global Research & Analysis Team (GReAT) \u00e8 il cuore di Kaspersky e si occupa di scoprire APT, campagne di cyberspionaggio, principali malware, ransomware e strategie criminali clandestine in tutto il mondo. Oggi il GReAT \u00e8 composto da oltre 35 esperti che lavorano a livello globale, in Europa, Russia, America Latina, Asia e Medio Oriente. Professionisti della sicurezza di grande esperienza che guidano l\u2019azienda nella ricerca e nell\u2019innovazione anti-malware, mettendo a disposizione expertise, passione e curiosit\u00e0 senza precedenti per la ricerca e l\u2019analisi delle minacce informatiche.\u00a0<\/p>\n
\u00a0<\/p>\n
\u00a0<\/p>\n
\u00a0<\/p>\n
\nSeguici su:
\n\u00a0<\/p>\n